Databehandleravtale
Sist oppdatert: 21.3.2026
Denne databehandleravtalen ("Avtalen") er inngått mellom deg som behandlingsansvarlig ("Kunden") og Vikse Bruvik Technology som databehandler ("Botsy"), i samsvar med GDPR artikkel 28.
1. Bakgrunn og formål
Kunden bruker Botsys AI-kundeserviceplattform for å håndtere kundehenvendelser. I den forbindelse behandler Botsy personopplysninger på vegne av Kunden. Denne avtalen regulerer Botsys behandling av personopplysninger i henhold til personopplysningsloven og GDPR (forordning (EU) 2016/679).
2. Definisjoner
- Behandlingsansvarlig (Kunden): Den bedriften som bruker Botsy til å håndtere kundeservice, og som bestemmer formålet med behandlingen av personopplysninger.
- Databehandler (Botsy): Vikse Bruvik Technology, org.nr 837 094 682, som behandler personopplysninger på vegne av Kunden.
- Registrerte: Kundens sluttkunder hvis personopplysninger behandles gjennom Botsys tjenester.
3. Behandlingens art og formål
Botsy behandler personopplysninger for å levere AI-basert kundeservice på vegne av Kunden. Behandlingen omfatter:
- Mottak og lagring av chatmeldinger fra sluttbrukere
- AI-analyse av meldinger for å generere relevante svar
- Lagring av samtalehistorikk
- Videreformidling av henvendelser via e-post, SMS, Messenger og Instagram
4. Kategorier av personopplysninger
Følgende kategorier personopplysninger kan behandles:
- Kontaktinformasjon: Navn, e-post, telefonnummer (hvis oppgitt av sluttkunden)
- Samtaleinnhold: Meldinger, spørsmål og svar i chat
- Teknisk data: IP-adresse, enhetstype, nettleserinfo
- Sosiale medier-ID: Facebook/Instagram bruker-ID ved Messenger/Instagram-integrasjon
5. Botsys forpliktelser
Botsy forplikter seg til å:
- Kun behandle personopplysninger i henhold til Kundens dokumenterte instrukser
- Sikre at personer som har tilgang til personopplysningene er underlagt taushetsplikt
- Iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak (GDPR Art. 32)
- Ikke engasjere underleverandører uten skriftlig forhåndsgodkjenning fra Kunden (se punkt 7)
- Bistå Kunden med å oppfylle de registrertes rettigheter (innsyn, sletting, etc.)
- Slette eller tilbakelevere alle personopplysninger ved opphør av avtalen
- Gi Kunden tilgang til nødvendig informasjon for å dokumentere etterlevelse
6. Sikkerhetstiltak
Botsy implementerer følgende sikkerhetstiltak:
- Kryptering: All data krypteres under overføring (TLS 1.2+) og ved lagring (AES-256)
- Tilgangskontroll: Rollebasert tilgangsstyring med Firebase Authentication
- Logging: Alle datatilganger logges for revisjon
- Infrastruktur: Data lagres i EU via Google Cloud Platform (Firebase)
- Sikkerhetsoppdateringer: Regelmessige oppdateringer av alle systemkomponenter
7. Underleverandører
Kunden godkjenner herved følgende underleverandører (underdatabehandlere):
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Google Cloud (Firebase) | Database, autentisering, lagring | EU |
| Google Gemini | AI-tekstgenerering | EU/USA (SCC) |
| Groq | AI-tekstgenerering (reserve) | USA (SCC) |
| Stripe | Betalingsbehandling | EU/USA (SCC) |
| Twilio | SMS-tjenester | USA (SCC) |
| SendGrid | E-posttjenester | USA (SCC) |
Botsy vil informere Kunden om eventuelle endringer i underleverandører med minst 30 dagers varsel. Kunden har rett til å protestere mot nye underleverandører.
8. Overføring til tredjeland
Enkelte underleverandører behandler data i USA. Slik overføring skjer med hjemmel i GDPR artikkel 46(2)(c) gjennom EUs Standard Contractual Clauses (SCC). Botsy har gjennomført Transfer Impact Assessment (TIA) og vurdert at tilstrekkelig beskyttelsesnivå er sikret gjennom tekniske og organisatoriske tiltak.
9. Sikkerhetsbrudd
Ved brudd på sikkerheten som medfører utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger, skal Botsy varsle Kunden uten ugrunnet opphold og senest innen 24 timer etter at bruddet ble oppdaget. Varselet skal inneholde beskrivelse av bruddet, berørte kategorier data, antall berørte registrerte, sannsynlige konsekvenser, og tiltak iverksatt eller foreslått.
10. Revisjon og kontroll
Kunden har rett til å gjennomføre revisjoner for å verifisere at Botsy overholder denne avtalen. Revisjon skal varsles minst 30 dager i forveien og gjennomføres på en måte som minimerer forstyrrelsen av Botsys virksomhet.
11. Varighet og opphør
Denne avtalen gjelder så lenge Botsy behandler personopplysninger på vegne av Kunden. Ved opphør av tjenesteavtalen vil Botsy:
- Slette alle personopplysninger innen 30 dager etter opphør
- På forespørsel tilbakelevere data i et maskinlesbart format før sletting
- Bekrefte skriftlig at sletting er gjennomført
12. Kontakt
For spørsmål om denne databehandleravtalen, kontakt: